監査ログ同期フローは、Office 365 管理アクティビティ API 参照 に接続して、アプリのテレメトリ データ (ユニーク ユーザー、起動回数など) を収集します。 フローは HTTP アクションを使用して API にアクセスします。 この記事では、HTTP アクションのアプリ登録と、フローの実行に必要な環境変数を設定します。
注意
センター オブ エクセレンス (CoE) スタート キットは、これらのフローなしで動作します。 ただし、フローを使用しない場合は、Power BI ダッシュボードでアプリの起動や一意のユーザーなどの使用状況情報が空白になります。
前提条件
- CoE スターター キットのセットアップとインベントリ コンポーネントの設定に関する手順を完了します。
- 環境を作成します。
- 適切な ID でサインインします。
チップ
インベントリとテレメトリのメカニズムとして クラウド フロー を選択した場合のみ、監査ログ フローを設定します。
監査ログのフローを設定する前に
開始する前に、次の追加の前提条件が満たされていることを確認します。
- 「監査の オンとオフを切り替える」の説明に従って、Microsoft 365 監査ログ検索が有効になっています。
- テナントには、統合監査ログをサポートするサブスクリプションがあります。 詳細については Microsoft 365 セキュリティとコンプライアンスに関するガイダンス を参照してください。
- Microsoft Entra アプリ登録を構成するための Microsoft Entra のアクセス許可。 Microsoft Entra 構成によって、これらのアクセス許可は アプリケーション開発者 ロール以上になります。 詳細については、 Microsoft Entra ID のタスク別の最小特権ロールに関するガイダンスを参照してください。
注意
Office 365 Management API へのアクセス権を取るためにアプリケーションの権限を取得するには、API が Microsoft Entra ID を通じて提供する認証サービスを使用できます。
Office 365 管理 API アクセスの Microsoft Entra アプリの登録を作成する
これらの手順に従って、Microsoft Entra フローで HTTP 呼び出しの Power Automate アプリ登録を設定し、監査ログに接続できます。 詳細は Office 365 管理 API の使用を始める を参照してください。
Azure portalにサインインします。
Microsoft Entra ID>アプリの登録 に移動します。
+ 新規登録を選択します。
Microsoft 365 Management などの名前を入力しますが、他の設定は変更しないでください。 次に、登録 を選択します。
API アクセス許可>アクセス許可の追加を選択します。
![[API アクセス許可] メニューの [アクセス許可の追加] ボタンの場所を示すスクリーンショット。](media/coe34.png)
Office 365 管理 API を選択し、次のようにアクセス許可を構成します:。
[ アプリケーションのアクセス許可] を選択し、[ ActivityFeed.Read] を選択します。
![[API アクセス許可] メニューの [API アクセス許可の要求] ページの ActivityFeed.Read 設定を示すスクリーンショット。](media/coe36new.png)
アクセス許可の追加 を選択します。
組織の <管理者の同意を得る> を選択します。 管理者コンテンツを設定するための前提条件の詳細について説明 します 。
API アクセス許可には、委任された ActivityFeed.Read アクセス許可が 組織に<付与済み> の状態で反映されるようになりました。
証明書とシークレット を選択します。
+ 新しいクライアント シークレットを選択します。
(組織のポリシーに従って) 説明と有効期限を追加します。 追加を選択します。
アプリケーション (クライアント) ID 値をコピーして Notepad file などのテキスト ドキュメントに貼り付けます。
概要 を選択し、アプリケーション (クライアント) ID およびディレクトリ (テナント) ID の値を同じテキスト ドキュメントにコピーして貼り付けます。
重要
各値に対応するグローバル一意識別子 (GUID) を記録してください。 カスタムコネクタを構成するときにこれらの値が必要になります。
環境変数の更新
環境変数を使用して、従来の Office 365 Management API または Graph API を選択します。 アプリ登録のクライアント ID とシークレットを環境変数に格納します。 HTTP アクションのクラウドの種類に応じて、対象ユーザーと機関サービス エンドポイントを環境変数で設定します。 クラウドの種類は、商用、米国政府コミュニティ クラウド (GCC)、US GCC High、または米国国防総省 (DoD) のいずれかです。 フローを有効にする前に、新しい 環境変数 を更新します。
監査ログ - クライアント シークレット 環境変数でプレーンテキストでクライアント シークレットを保存することができます。 ただし、この方法は推奨しません。 代わりに、クライアント シークレットを作成して Azure Key Vault に格納し、 監査ログ - クライアント Azure シークレット 環境変数で参照します。
注意
この環境変数を使用するフローには、監査ログ - クライアント シークレット、または 監査ログ - クライアント Azure シークレット のいずれかの環境変数を必要とする条件が設定されています。 しかし、Azure Key Vault と連携するために、フローを編集する必要はありません。
| 件名 | プロパティ | 価値 |
|---|---|---|
| 監査ログ - Graph API を使用する | イベントのクエリに Graph API を使用するかどうかを制御するパラメーター。 | いいえ (デフォルト) 同期フローでは、レガシ Office 365 Management API が使用されます。 |
| 監査ログ - 対象ユーザー | HTTP 呼び出しの対象ユーザー パラメーターです。 |
|
| 監査ログ - オーソリティ | HTTP 呼び出しにおけるオーソリティ フィールドです。 |
|
| 監査ログ - ClientID | アプリ登録のクライアント ID。 | Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント ID。 |
| 監査ログ - クライアント シークレット | アプリ登録クライアントシークレット (シークレットIDではなく、実際の値) のプレーン テキスト。 | Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント シークレット。 Azure Key Vault を使用しクライアント ID とシークレットを保存している場合は、この変数を空にしておきます。 |
| 監査ログ - クライアント Azure シークレット | アプリ登録クライアント シークレットの Azure Key Vault 参照。 | Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント シークレットに対する Azure Key Vault 参照。 監査ログ - クライアント シークレット 環境変数でクライアント ID をプレーン テキストで保存する場合は、空のままにします。 この変数は、シークレットではなく、Azure Key Vault 参照が必要です。 詳細情報は、Azure Key Vault シークレットの環境変数を使用するを参照してください。 |
監査ログ コンテンツに対するサブスクリプションの開始
make.powerapps.com にアクセスします。
ソリューションを選択します。
センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。
フローを有効にする 管理者 | 監査ログ | Office 365 管理 API サブスクリプション。 実行する操作として 開始 を入力して、フローを実行します。
![ナビゲーション バーの [実行] ボタンと [実行フロー] ウィンドウの [開始操作] の場所を示すスクリーンショット。](media/coe-startsubscription.png)
フローを開いて、サブスクリプションを開始するアクションが成功したことを確認します。
![ナビゲーション バーの [実行] ボタンと [実行フロー] ウィンドウの [開始操作] の場所を示すスクリーンショット。](media/coe-startsubscription.png#lightbox)
重要
以前にサブスクリプションを有効にしている場合は、(400) サブスクリプションは既に有効になっています というメッセージが表示されます。 このメッセージは、サブスクリプションが既に有効になっていることを意味します。 このメッセージは無視でき、設定は続行できます。
上記のメッセージまたは (200) 応答が表示されない場合、要求は失敗した可能性があります。 設定にエラーがあり、フローが機能しないようにしている可能性があります。 以下の一般的な問題がないかを確認してください。
- 監査ログは有効になっていて、監査ログを表示する権限がありますか? Microsoft Purview コンプライアンス マネージャーで検索して、ログが有効になっているかどうかをテストします。
- 監査ログを最近有効にしたばかりですか? その場合は、監査ログがアクティブ化する時間を必要とするため、数分後に再試行してみてください。
- Office 365 Management API アクセス用の Microsoft Entra アプリ登録の作成に関する手順に正しく従っていることを確認します。
- これらのフローの環境変数が正しく更新されたことを検証します。
子フローをオンにする
make.powerapps.com にアクセスします。
ソリューションを選択します。
センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。
管理者 | 監査ログ | データの更新 (V2) フローをオンにします。 このフローは Power Apps テーブルを前回の起動に関する情報で更新します。 また、監査ログ レコードにメタデータが追加されます。
管理者 | 監査ログ | 監査ログの同期 (V2) フローをオンにします。 このフローは時間ごとのスケジュールで実行され、監査ログ イベントを監査ログ テーブルに収集します。
フィードバックを提供する
CoE スターター キットで問題が見つかる場合は、 aka.ms/coe-starter-kit-issues でソリューションに対するバグを報告してください。